Escolar Documentos
Profissional Documentos
Cultura Documentos
Roteiro para
Capacidades
Mínimas de
Cibersegurança
O Centro Nacional de Cibersegurança (CNCS)
definiu um modelo de capacitação em
cibersegurança, visando a melhoria de processos,
pessoas e tecnologias nas organizações nacionais,
com enfoque especial em PME (Pequenas e
Médias Empresas). O presente Roteiro apresenta
um conjunto de ações, divididas em 5 fases
pensadas para uma adaptação gradual, a
implementar em cada organização, seja por meios
próprios internos, ou recorrendo a subcontratação
ou externalização de soluções. Considera-se que
este conjunto de atividades, enquadradas no
âmbito do Quadro Nacional de Referência para a
Cibersegurança, constitui o plasmar de uma
capacidade mínima em cibersegurança, dotando
as organizações visadas dos instrumentos mais
essenciais que lhe permitirão fazer face às
ameaças e perigos do Mundo Digital.
Centro Nacional de Cibersegurança
Rua da Junqueira, 69, 1300-342 Lisboa | Tel (+351) 21 049 74 00 | cncs@cncs.gov.pt
1
Classificação Data Versão do documento
TLP WHITE 29/10/2019 1.0
Título
Roteiro para Capacidades Mínimas de Cibersegurança
Origem
CNCS – Centro Nacional de Cibersegurança
Histórico de Versões
1. SUMÁRIO EXECUTIVO 6
1.1. OBJETIVO 8
1.2. ROTEIRO DE CRIAÇÃO DE CAPACIDADES MÍNIMAS 8
1.3. REVISÃO 9
1.4. CLASSIFICAÇÃO DA INFORMAÇÃO 9
2.1. FASE 1 10
A fase preparatória consiste no conjunto de ações que são a base da cooperação entre o CNCS
e a organização. Nos objetivos desta fase inicial de preparação incluem-se também a definição
dos canais de comunicação entre a organização e o CNCS, a identificação do âmbito material de
colaboração/articulação e o arranque dessa mesma colaboração. 10
2.2. FASE 2 15
A segunda fase consiste no conjunto de ações necessárias para concretizar medidas que são
preconizadas em políticas e protocolos estabelecidas na fase anterior, bem como em ações que
visem dotar a organização com os principais recursos processuais e técnicos de base para uma
defesa eficaz dos seus ativos, quer a nível do perímetro de rede, quer de servidores, postos de
trabalho e outros dispositivos. Nesta fase são ainda estabelecidos sistemas processuais internos
que garantam a conformidade essencial da organização com requisitos legais e normativos da
área de atividade. 15
2.3. FASE 3 24
Esta fase prevê a implementação dos desenhos de arquitetura de rede e defesas perimétricas
elaborados na fase anterior, através da instalação de firewall, sistemas de deteção de intrusão
em dispositivos e aplicações, nomeadamente Host-based Intrusion Detection Systems (HIDS),
honeypots e controlo de acessos web (proxy). Esta fase também contempla auditorias de
segurança e mecanismos de supervisão, bem como a consolidação de informação de registo e
monitorização num sistema integrado de gestão de eventos (SIEM). 24
3. CONCLUSÕES 42
ANEXOS 43
Foi assim estabelecido o Roteiro para Capacidades Mínimas em Cibersegurança, constituído por 5 (cinco)
fases para que as organizações possam integrar o ecossistema nacional de cibersegurança, criando,
simultaneamente, condições para uma melhoria sustentada e coerente dessas capacidades.
Este Roteiro deve ser utilizado como um instrumento complementar ao Quadro Nacional de Referência
para a Cibersegurança (QNRCS). Este último é um documento orientador, que aborda de forma
abrangente os diversos vetores relacionados com a problemática da segurança nas organizações,
seguindo as linhas gerais de normativos como as da família ISO/IEC 27000 ou as que se encontram sob
a chancela da NIST. Pretende-se que o Roteiro constitua, no quadro da realidade das PME, a
concretização prática das diretrizes que faça sentido implementar, tendo em conta quer a limitação de
recursos destas organizações, quer aqueles que devem ser os seus requisitos do ponto de vista da
proteção dos seus ativos.
Este documento permitirá desenvolver gradualmente o nível de cibersegurança nas várias organizações.
O CNCS disponibiliza também, sem custos associados, um conjunto de instrumentos para ajudar ao
desenvolvimento de algumas capacidades. A caraterização destes instrumentos, a sua forma e o seu
Este documento apresenta a visão e um conjunto de capacidades preconizadas pelo CNCS como
fundamentais ao nível do panorama organizacional nacional, com especial enfoque nas Pequenas e
Médias Empresas e em outras organizações que pretendam atingir capacidades mínimas de
cibersegurança.
A primeira fase é preparatória e o seu objetivo é estabelecer os alicerces para a cooperação entre a
organização e o CNCS. Nesta fase, a organização trabalhará para definir um ponto de contacto a articular
com o CNCS. Será igualmente identificado o quadro de ameaças que impende sobre a organização,
calculando o valor relativo dos seus ativos (bem como o grau de risco a que estão sujeitos), definindo as
áreas de segurança distintas, conforme o valor dos respetivos ativos e definindo ainda as respetivas
regras de acesso. Deverá ainda identificar as dependências funcionais entre sistemas internos e entre
estes e sistemas geridos por terceiros, levando sempre em linha de conta a importância do conjunto
para o negócio.
A segunda fase irá desenvolver a arquitetura de segurança, focando-se em delimitar as várias áreas de
segurança e aplicar regras de controlo de acessos que permitam, por exemplo, detetar tentativas de
intrusão em cada uma das zonas de segurança. Ainda nesta fase, a organização deverá agregar num
repositório central e correlacionar os eventos de segurança detetados nos diversos elementos de
segurança ativa e passiva, bem como agregar, nesse mesmo repositório central, a informação de
metadados de comunicações eletrónicas e registos de sistema e aplicações. Em casos específicos, os
eventos de segurança relevantes poderão ser comunicados em tempo real ao CNCS para
enriquecimento do Quadro Situacional Nacional de Cibersegurança2.
2
Disponível em https://www.cncs.gov.pt/projetos/panorama/
A penúltima fase consiste em criar procedimentos e políticas que definam e otimizem as capacidades
da equipa que estará encarregue da cibersegurança interna, formalizar os procedimentos para
operações de cibersegurança, definir as responsabilidades pelas operações de cibersegurança e elaborar
um plano de formação individual para os colaboradores envolvidos, desta forma construindo uma
estrutura de cibersegurança para toda a organização.
Finalmente, a quinta fase destina-se apenas a organizações cuja dimensão, criticidade ou complexidade
o justifique e consiste em formalizar equipa(s) dedicada(s) à deteção e resposta de incidentes, com as
seguintes capacidades: monitorização e alerta de incidentes de cibersegurança – Security Operations
Centre (SOC) e/ou Computer Security Incident Response Team (CSIRT). A organização deverá ainda
colaborar em projetos de desenvolvimento e partilha de informação de cibersegurança de uma forma
regular dentro do sector de atividade e, se necessário, com a comunidade de cibersegurança, podendo
também participar em exercícios nacionais e internacionais de cibersegurança.
1.3. Revisão
O Roteiro para Capacidades Mínimas de Cibersegurança está sujeito a revisões sempre que sejam
identificadas oportunidades de melhoria nas capacidades tecnológicas, humanas e processuais
associadas aos eixos de intervenção identificados, ou outras alterações que justifiquem a revisão do
documento.
2.1. FASE 1
A fase preparatória consiste no conjunto de ações que são a base da cooperação entre o CNCS e a
organização. Nos objetivos desta fase inicial de preparação incluem-se também a definição dos canais
de comunicação entre a organização e o CNCS, a identificação do âmbito material de
colaboração/articulação e o arranque dessa mesma colaboração.
No fim desta fase, a organização deverá ter alcançado as seguintes capacidades:
3) Dispor de bases normativas internas para a proteção destes ativos críticos e da segurança
de informação interna como um todo, através da constituição de uma política de segurança
de informação, da determinação de uma cadeia de responsabilidade interna por sistemas e
ativos de informação, e da adoção de uma metodologia de gestão de risco que ponha em
prática a estratégia da organização para a mitigação de ameaças.
2.1.1. Ações
As ações previstas para atingir os objetivos propostos para esta fase são:
AÇÃO
A 1.1 - Formalização de Protocolo de Colaboração e Adenda
A 1.2 - Identificação de RESPONSÁVEL DE SEGURANÇA
A 1.3 – Identificação de funções ou atividades críticas
A 1.4 - Estabelecimento de canais de comunicação
A 1.5 - Registo de endereços de IP no LIR (Local Internet Registry)
A 1.6 - Estabelecimento de metodologia de Análise de Risco
A 1.7 – Cadeia de responsabilidade: preparação
A 1.8 – Definição de política de segurança de informação
A 1.9 – Procedimentos de notificação de incidentes
Assim sendo, a organização deverá atualizar a informação de contacto junto de uma destas duas
bases de dados ou pedir ao respetivo fornecedor de Internet para o fazer. O CNCS poderá constar
como contacto para resposta a incidentes (objeto IRT) das redes da instituição, apenas durante o
tempo necessário para que esta edifique capacidades próprias.
3
Disponível em https://www.ripe.net/
QNRCS A gestão do risco é o processo contínuo de identificação, avaliação e resposta ao risco. Para gerir
3.5 o risco a organização deve, ainda que aqui explanado de forma sumária, identificar a
4.3.4
probabilidade de um evento ocorrer e o impacto que esse evento traria, caso ocorresse. Para
efeitos de facilidade na compreensão deste documento, explana-se, de seguida, ainda que de
forma sumária, o processo de criação da matriz de risco (probabilidade versus impacto).
Assim, no seguimento da identificação dos serviços críticos, deve ser realizada uma análise de
risco que consiste em: (i) identificar as vulnerabilidades associadas a estes serviços e as ameaças
a que se encontram expostos; (ii) calcular a probabilidade de concretização da ameaça e o impacto
daí esperado; (iii) avaliar a criticidade de cada um dos ativos baseada no impacto decorrente de
uma eventual falha de segurança (nível de risco). A gestão de risco consiste na tomada de decisão
quanto ao processo de tratamento de cada um dos riscos identificados. Esta decisão pode passar
por mitigar, transferir, evitar ou aceitar o risco. Deve aceitar-se o risco apenas quando este não
acarreta consequências significativas para a concretização das atividades críticas do negócio. A
decisão quanto ao nível de risco aceitável deverá ser tomada ao nível da administração da
organização.
A política de segurança, conjuntamente com a metodologia de análise de risco (ver A1.6), são
pilares essenciais de uma abordagem concertada e organizada pela cibersegurança em particular.
É importante que aqui se definam as prioridades da organização, bem como os respetivos perfis
de risco. As decisões devem ser tomadas, tanto quanto possível, partindo da análise da situação
face a esse perfil, constituindo a política de segurança o principal garante das boas práticas e fator
de redução de risco e exposição a ameaças nas atividades do dia-a-dia.
QNRCS Consiste em criar e fazer aprovar pela direção da organização, um procedimento de notificação
3.6.2 de incidente de cibersegurança com impacto nas funções ou atividades identificadas como
críticas. O responsável de segurança deverá selecionar a tipologia dos incidentes a incluir no
processo de notificação, tendo como referência o catálogo de tipos de incidentes presente na
taxonomia de classificação de incidentes. O CNCS presta o apoio necessário na definição e
operacionalização deste procedimento de notificação de incidentes de cibersegurança.
A segunda fase consiste no conjunto de ações necessárias para concretizar medidas que são
preconizadas em políticas e protocolos estabelecidas na fase anterior, bem como em ações que visem
dotar a organização com os principais recursos processuais e técnicos de base para uma defesa eficaz
dos seus ativos, quer a nível do perímetro de rede, quer de servidores, postos de trabalho e outros
dispositivos. Nesta fase são ainda estabelecidos sistemas processuais internos que garantam a
conformidade essencial da organização com requisitos legais e normativos da área de atividade.
Finda esta etapa, a organização deverá, então, ter alcançado as seguintes capacidades:
3) Dispor de informação de registo e fluxos de tráfego que permitam uma deteção atempada
de ameaças, bem como o diagnóstico a posteriori do comportamento dos sistemas internos
perante um evento de segurança;
2.2.1. Ações
As ações previstas para atingir os objetivos propostos para esta fase são:
AÇÃO
A 2.1 – Desenho e implementação da arquitetura e segurança perimétrica
A 2.2 – Implementação de sistema de recolha e armazenamento do fluxo de tráfego
A 2.3 – Comunicação com o CNCS
A 2.4 – Inventariação de ativos / produção de um mapa de rede
A 2.5 – Recolha centralizada de registos (logs)
A 2.6 – Criação de instrumentos de correção ou mitigação de incidentes
A 2.7 – Estabelecimento de conformidade com a legislação aplicável
A 2.8 – Estabelecimento de conformidade com normas aplicáveis à área de atividade
A 2.9 – Criação de política de uso aceitável
A 2.10 – Manutenção de infraestruturas de cópias de segurança e reposição (Backup/Restore)
A 2.11 – Mapa de competências e planos de formação
A 2.12 – Treino e sensibilização interna: geral
A 2.13 – Treino e sensibilização interna: gestão
Neste sentido deverão existir firewalls para controlo dos acessos para/da Internet e entre
diferentes zonas de segurança, com regras que minimizem a interação entre camadas. Deverá
igualmente existir um Sistema de Deteção e Proteção de Intrusão (IDS/IPS) com visibilidade para
O perímetro de rede deve constituir uma primeira linha de defesa contra ameaças externas. A sua
configuração e posicionamento devem ser adequados à arquitetura e segmentação da rede.
Existem gamas de equipamentos de vários níveis, de acordo com as capacidades e volumes de
tráfego a ter em conta, permitindo que cada organização adeque o investimento às suas
dimensões e complexidade.
O complemento com um sistema de IDS/IPS permite que esta filtragem seja também feita numa
base heurística, analisando o conteúdo do tráfego e detetando/bloqueando padrões de ataque
conhecidos.
Dada a sua criticidade para o bom funcionamento da arquitetura de sistemas, sugere-se, sempre
que possível, a opção pela diversidade em termos de fabricantes/fornecedores de soluções de
segurança perimétrica.
Interessa particularmente registar na CMDB a lista dos principais ativos informáticos de suporte
às funções críticas, anteriormente identificadas. Para cada um destes ativos deverá, no mínimo,
ser armazenada a informação do endereçamento IP, versões de sistema operativo, versões de
aplicações que comunicam com o exterior e dependências funcionais com outros serviços vitais.
Da mesma forma que é necessária uma inventariação de ativos, também é importante manter
atualizado um diagrama com as principais infraestruturas de comunicações de dados e os
sistemas de suporte aos serviços críticos da organização. Possuir um diagrama de rede é essencial,
quer para perceber como se desenvolveram os diversos momentos do ataque, quer para
desenhar as soluções de mitigação e identificar a melhor forma de as aplicar. No diagrama de rede
deverão constar, no mínimo, todos os segmentos de rede da organização, endereçamento IP
usado em cada um deles, endereços IP de interligação, equipamentos de interligação entre os
vários segmentos e a indicação das políticas de acesso entres estes. Este diagrama deverá incluir
igualmente funções informáticas que sejam externalizadas.
QNRCS A organização deve ter sempre presente e os quadros legais e regulatórios a que está sujeita. A
4.3.3 título exemplificativo, empresas de prestação de serviços digitais e outro tipo de organizações
com papéis relevantes na sociedade e na manutenção das infraestruturas que prestam serviços
essenciais ao país estão no âmbito da Diretiva SRI – Segurança das Redes e dos Sistemas de
Informação e assim da Lei 46/2018 de 13 de agosto. Nesse quadro, têm obrigações específicas na
governação da sua cibersegurança e na forma como se coordenam e interagem com o CNCS para
efeitos da notificação e de resposta a incidentes.
A nível mais abrangente, o Regulamento Geral de Proteção de Dados, em vigor desde maio de
2018, estabelece obrigações comuns a todas as organizações que fazem tratamento de dados
pessoais. A respetiva segurança é, segundo o RGPD, dependente da organização interna da
cibersegurança, de boas bases de gestão de risco e da assimilação do princípio da Segurança e
Privacidade desde a conceção e por defeito.
É importante que a estratégia interna para a conformidade com a legislação aplicável à atividade
seja parte da política de segurança (ver A 1.8) e que a metodologia de análise de risco definida
(ver A 1.6) tenha em conta esta prioridade, face aos prejuízos decorrentes de uma qualquer não-
conformidade.
QNRCS À semelhança do ponto anterior, a conformidade com normas ou certificações exigidas por Lei ou
4.3.3 por força de exigências contratuais ou regulatórias impostas às atividades da organização deve
ser um fator prioritário. O incumprimento destas normas pode significar perdas de reputação ou
de negócio indesejáveis e potencialmente incomportáveis.
Algumas destas normas podem passar pela aplicação de medidas técnicas ou organizativas no
domínio da cibersegurança. Mais uma vez, na linha do ponto anterior (ver A 2.7), essa importância
deve ficar plasmada e patente nos instrumentos de governação interna, designadamente, no
domínio da cibersegurança, na política de segurança (ver A 1.8) e na metodologia de análise de
risco (ver A 1.6). As restantes capacidades elencadas neste documento constituem também
elementos de valor acrescentado para a conformidade com as normas aplicáveis em termos de
segurança.
• Papéis e Responsabilidades
• Manutenção dos postos de trabalho e ambiente de trabalho
• Correta utilização do e-mail para uso profissional
• Comportamento adequado na navegação na Internet
• Utilização de dispositivos móveis para uso profissional
• Instalação e utilização de software aplicacional
• Respeito pelos princípios de ética e pela privacidade e proteção de dados
pessoais
• Administração do parque informático e do acesso aos recursos em rede
Para que a aplicação da PUA seja o mais eficaz possível, poderá ser estabelecido um programa de
formação interno, que dote os colaboradores da organização com as competências e
conhecimentos adequados ao bom desempenho das suas funções (ver A 2.11).
Também aqui podem ser utilizados recursos internos, eventualmente complementados com
recursos externos, como sendo o Programa de Sensibilização e Treino do CNCS.
Esta fase prevê a implementação dos desenhos de arquitetura de rede e defesas perimétricas
elaborados na fase anterior, através da instalação de firewall, sistemas de deteção de intrusão em
dispositivos e aplicações, nomeadamente Host-based Intrusion Detection Systems (HIDS), honeypots e
controlo de acessos web (proxy). Esta fase também contempla auditorias de segurança e mecanismos
de supervisão, bem como a consolidação de informação de registo e monitorização num sistema
integrado de gestão de eventos (SIEM).
Finda esta fase, a organização deverá possui a capacidade de:
As ações previstas para atingir os objetivos propostos para esta fase são as que de seguida se indicam:
AÇÃO
A 3.1 – Definição de procedimentos de operação
A 3.2 – Instalação e configuração de sensores em dispositivos
A 3.3 – Auditoria de segurança e Bases de Dados
A 3.4 – Instalação e configuração de controlo de acessos web – (e.g. serviços proxy)
A 3.5 – Proteção e gestão de equipamentos
A 3.6 – Instalação e configuração de mecanismos de monitorização
A 3.7 – Hardening das configurações
A 3.8 – Instalação e configuração de um Security Information and Event Management (SIEM)
A 3.9 – Definição de planos de continuidade de negócio
A 3.10 – Aquisição de competências técnicas
Devem ser considerados diferentes cenários de atuação, que em si possam produzir alterações
de fundo aos próprios fluxos de comunicação e ao papel que pode caber à organização (e também
ao CNCS).
Tendo como base a análise de risco realizada, devem ser instalados HIDS em todos os sistemas e
postos de trabalho intervenientes nos processos mais sensíveis da organização, nomeadamente
nas zonas de segurança onde se encontram, ou de que dependem, os serviços críticos já
identificados.
Para não sobrecarregar o SIEM, sugere-se a utilização de um outro repositório que funcione como
repositório dos registos, para que seja feita uma filtragem e normalização de dados inicial, antes
dos registos serem enviados para o SIEM.
Quer o repositório quer o SIEM deverão guardar os registos por um período mínimo de 1 (um)
ano (histórico) e 2 (dois) anos de estatísticas. Em complemento, é importante que cada ativo (por
exemplo, um servidor) tenha a capacidade de armazenar os seus próprios registos por um período
de um mês. A recolha centralizada de registos pressupõe a identificação dos principais sistemas
informáticos de suporte aos serviços críticos da organização, a configuração destes sistemas para
exportar os registos e a instalação de um serviço dedicado ao seu armazenamento.
Para organizações cuja dimensão e criticidade do negócio o justifiquem, deverá ser equacionada
a possibilidade de esta contribuir para o sistema agregador de informação de perceção situacional
disponibilizado pelo CNCS (sistema Panorama). A organização poderá entrar em contacto com o
CNCS no sentido de se avaliar a aplicabilidade desta medida.
Devem fazer parte deste plano os elementos essenciais que permitam à organização continuar
em operação perante um qualquer desastre ou incidente que cause (ou tenha potencial para
causar) uma disrupção significativa ou até total na atividade.
• Critérios de ativação
• Contactos de pessoas ou organizações-chave
• Papéis e responsabilidades na ativação
• Procedimentos a adotar na ativação
• Cadeia de pessoas ou departamentos a envolver nos fluxos de informação
• Instalações alternativas
• Serviços alternativos
• Recursos a mobilizar (internos e externos)
• Eventuais procedimentos para reposição de sistemas ou serviços essenciais
Finalmente, de forma a realizarem as suas várias funções dentro do quadro jurídico vigente e
articularem com eficácia com todas as autoridades relevantes nesta matéria, os analistas de
cibersegurança deverão ter as noções básicas em aspetos jurídicos relacionados com a sua
A quarta fase representará, para a maior parte das organizações, o culminar do processo de
capacitação interna no domínio da cibersegurança. Nesta fase procurar-se-á consolidar e formalizar
alguns processos e normativos internos estabelecidos em fases precedentes, bem como
complementar a formação de recursos humanos e as proteções a nível tecnológico de
equipamentos que contenham ou permitam a circulação em rede de informação corporativa. É
também nesta fase que se estabelece a gestão de processos de mudança.
Assim sendo, após a conclusão das ações propostas, a organização deverá ter capacidade para:
2.4.1. Ações
As ações previstas para atingir os objetivos propostos para esta fase são as que de seguida se indicam:
AÇÃO
A 4.1 – Cadeia de responsabilidades: formalização
A 4.2 – Definição do Sistema Interno de Normas e Políticas (SINP)
A 4.3 – Análise de risco - reavaliação
A 4.4 – Simulacro
A 4.5 – Definição de procedimentos de reação a incidentes
A 4.6 – Treino e sensibilização interna: SINP
A 4.7 – Testes de aceitação se serviços
A 4.8 – Mecanismos de engodo (honeypots)
A 4.9 – Gestão de mudanças e atualizações
Depois do fim da implementação do Roteiro, sugere-se que seja feita recorrentemente esta
análise, com uma periodicidade anual (mínima), pela organização.
A 4.4 - Simulacro
De forma autónoma ou com o apoio do CNCS, a organização deverá realizar simulacros de
incidentes de cibersegurança para avaliação do nível de sensibilização dos seus colaboradores e
do grau de preparação dos analistas de cibersegurança para lidar com os tipos de incidente mais
comuns.
Estes simulacros deverão ocorrer, pelo menos, anualmente e devem testar as capacidades
implementadas neste documento.
Estes testes devem ser conduzidos por equipas especializadas em segurança ofensiva, e não
devem ser confundidos com testes funcionais. Os objetivos são o de submeter as aplicações,
serviços e sistemas a ataques de vários tipos e intensidades, analisar o respetivo comportamento
perante esses ataques, propor ações para remediar eventuais problemas detetados e, em última
instância, aprovar o sistema quando estiver em condições aceitáveis.
Um dos primeiros sinais de atividade maliciosa, após a intrusão inicial, é a tentativa de estabelecer
movimentos laterais, que permitam ao atacante estender o seu controlo a outros serviços ou
sistemas dentro da rede. Os vulgarmente designados honeypot são sistemas dedicados que
mimetizam funções informáticas de uma organização e que funcionam como engodo para atrair
os atacantes, permitindo desta forma identificar os seus métodos de ataque e avaliar as suas
capacidades. Tipicamente um honeypot mimetiza serviços comuns como o website ou o servidor
de correio eletrónico da organização. É usual utilizarem-se estes sistemas como meio de
Esta fase pressupõe a instalação e configuração de um honeypot dentro das zonas de segurança
com ativos que processam ou armazenam informação sensível.
No final desta fase é suposto que a organização reúna o seguinte conjunto de competência internas:
3) Contar com um sistema de gestão de crise nos processos internos, que reduzirão o tempo
de reação e elevarão a eficácia de combate a desastres, incidentes ou eventos de uma
magnitude que possa causar um impacto catastrófico na organização.
As ações previstas para atingir os objetivos propostos para esta fase são as que de seguida se indicam:
AÇÃO
A 5.1 – Nomear um CISO
A 5.2 – Estabelecer um serviço de gestão de vulnerabilidades
A 5.3 – Estabelecer e implementar um plano de auditorias
A 5.4 – Definir a missão, a comunidade servida e o portfólio de serviços do CSIRT
A 5.5 – Elaborar e fazer aprovar o plano e o orçamento para o CSIRT
A 5.6 – Montar e anunciar o CSIRT
A 5.7 – Estabelecer um sistema de gestão de Crise
A 5.8 – Afiliação nas comunidades nacionais e internacionais de CSIRT
A 5.9 – Participação num exercício nacional de cibersegurança
O CISO deve ser o topo da hierarquia no que toca à governação de segurança, e o elemento da
direção a quem reporta o SOC ou CSIRT.
A organização deve estabelecer um serviço que, com a periodicidade adequada, execute pesquisa
de vulnerabilidades dentro da sua rede. Deve ser um serviço que recorre essencialmente a
ferramentas automatizadas, a complementar, nos casos que mereçam atenção especial, com
interação humana de técnicos especializados. Para além desta componente periódica, o serviço
de deteção também deve estar disponível, sempre que necessário, como parte do portfólio de
serviços para apoio aos testes de aceitação de novos serviços (ver A 4.9).
QNRCS A primeira ação para a constituição de um CSIRT na organização passa por definir a visão para
5.4 esse mesmo CSIRT. Consiste em definir e validar, com as partes interessadas, uma definição clara
da missão, uma identificação da comunidade servida e o desenho do portfólio de serviços
adequado para atingir os objetivos propostos.
Para a construção desta visão contribuem muitos dos entregáveis produzidos nas fases anteriores,
nomeadamente a gestão de ativos, a definição de uma cadeia de responsabilidade e os processos
de mitigação de incidentes.
Um SOC ou CSIRT deve ter uma estrutura capaz e sustentável. Para esse efeito é necessária a
aprovação, por parte da direção da organização, de um plano de ação e orçamento para montar
e operar a equipa.
O sucesso do SOC ou CSIRT depende da objetividade da sua missão e da adequação dos meios e
dos instrumentos para atingir os seus objetivos.
Deste plano deverá constar uma proposta de enquadramento funcional dentro da estrutura
orgânica da organização, a definição já referida da missão, da comunidade servida e portfólio de
serviços, não excluindo o consequente plano de investimentos para a montagem inicial da função
SOC ou CSIRT, o plano de formação e capacitação para os recursos humanos alocados e/ou a
contratar, o plano de deslocações de representação e participação nas comunidades de
cibersegurança e o calendário para a sua operacionalização.
De forma a automatizar processos, e após uma avaliação conjunta entre a organização e o CNCS,
poderá ser possível a integração do sistema de ocorrências da organização com os mecanismos
de disseminação de eventos e de alertas do CNCS, utilizando uma ontologia e uma taxonomia
comuns.
Por outro lado, é necessário formar os recursos humanos afetos à função CSIRT com as
competências técnicas necessárias. Dependendo dos objetivos, as capacidades necessárias são:
procedimentos de tratamento de incidentes, análise técnica de tráfego, análise técnica de
artefactos e análise técnica de malware.
Por último importa anunciar o CSIRT à comunidade servida. Uma equipa de resposta a incidentes
opera sobre as notificações internas e externas que lhe chegam, donde é essencial que o CSIRT se
Enquanto equipa de resposta a incidentes, o CSIRT deve ser uma parte importante deste sistema,
mas certamente que não será o único, tendo em conta a escala que a gestão de crises tipicamente
representa, em termos do âmbito de potencial ou efetivo impacto.
Há que acautelar ainda, em sede dos planos de continuidade de negócio (ver A 3.10), que esteja
adequadamente refletido o papel e intervenção do sistema de gestão de crises neste âmbito.
O sucesso de um CSIRT depende da sua boa integração nas várias comunidades de cibersegurança
e das relações de confiança que aí são criadas.
Neste contexto, o CSIRT da organização deverá afiliar-se e participar ativamente nos programas
de trabalhos das comunidades nacionais de CSIRT, tais como a Rede Nacional de CSIRT e, se
adequado, do Task-Force for CSIRTs in Europe (TF-CSIRT) ou Forum of Incident Response and
Security Teams (FIRST). Adicionalmente, recomenda-se a participação em fora nacionais e/ou
internacionais sectoriais, tais como o FI-ISAC (Financial Services – Information Sharing and
Analysis Centre) para o sector bancário.
O CSIRT da organização deve participar num exercício de cibersegurança pelo menos uma vez por
ano, seja o mesmo de âmbito nacional ou internacional.
O presente Roteiro serve de referência nacional para a criação de capacidades mínimas no domínio da
cibersegurança, promovendo o equilíbrio do ecossistema da cibersegurança em Portugal.
Este documento visa igualmente a discussão nacional e internacional das temáticas em causa e, como
tal, não pretende ser uma versão estática, mas sim dinâmica, prevendo-se a constante atualização com
versões aperfeiçoadas.
Ao longo das cinco fases aqui caracterizadas, as ações que se elencam visam a capacitação da
organização com recursos próprios. Deve referir-se, no entanto, que, dependendo da análise de risco e
eficiência a nível de custos, resultados equivalentes poderão ser obtidos recorrendo a subcontratação
de serviços, equipamentos ou mesmo de recursos humanos.
Relativamente às ações aqui preconizadas, deve acrescentar-se que, mesmo nos pontos onde não é
referida esta via explicitamente, a opção pela subcontratação ou externalização de soluções pode e deve
ser equacionada pela organização como alternativa válida à implementação com recursos internos.
Também no domínio da intervenção humana, o mercado oferece soluções de resposta a incidentes,
deteção e monitorização contínua de segurança.
A importância da análise de risco na tomada de decisões sobre a forma de implementação (in house vs.
subcontratar) permitirá procurar o equilíbrio entre eventuais desvantagens financeiras e logísticas em
dispor de meios próprios com potenciais impactos na segurança como um todo, ou optar-se pela
externalização ou subcontratação. Esses potenciais impactos poderão advir da dependência de
organizações externas, eventuais riscos de confidencialidade e problemas de portabilidade. É
importante, pois, que estas decisões sejam tomadas conscientemente pela organização, tendo presente
a criticidade dos ativos de informação que pretende proteger, no enquadramento das suas capacidades
financeiras.
ANEXOS
AÇÃO
A 1.1 Formalização de Protocolo de Colaboração e Adenda
A 1.2 Identificação de RESPONSÁVEL DE SEGURANÇA
A 1.3 Identificação de funções ou atividades críticas
A 1.4 Estabelecimento de canais de comunicação
A 1.5 Registo de endereços de IP no LIR (Local Internet Registry)
A 1.6 Estabelecimento de metodologia de Análise de Risco
A 1.7 Cadeia de responsabilidade: preparação
A 1.8 Definição de política de segurança de informação
A 1.9 Procedimentos de notificação de incidentes
A 2.1 Desenho e implementação da arquitetura e segurança perimétrica
A 2.2 Implementação de sistema de recolha e armazenamento do fluxo de tráfego
A 2.3 Comunicação com o CNCS
A 2.4 Inventariação de ativos / produção de um mapa de rede
A 2.5 Recolha centralizada de registos (logs)
A 2.6 Criação de instrumentos de correção e mitigação de incidentes
A 2.7 Estabelecimento de conformidade com a legislação aplicável
A 2.8 Estabelecimento de conformidade com normas aplicáveis ao setor
A 2.9 Criação de política de uso aceitável
A 2.10 Manutenção de infraestrutura de cópias de segurança e reposição
(Backup/Restore)
A 2.11 Mapa de competências e planos de formação
A 2.12 Treino e sensibilização interna: geral
A 2.13 Treino e sensibilização interna: gestão
A 3.1 Definição de procedimentos de operação
A 3.2 Instalação e configuração de sensores em dispositivos
A 3.3 Auditoria de segurança a Bases de Dados
A 3.4 Instalação e configuração de controlo de acessos web – (e.g serviços proxy)
A 3.5 Proteção e gestão de equipamentos
A 3.6 Instalação e configuração de mecanismos de monitorização
A 3.7 Hardening das configurações
A 3.8 Instalação e configuração de um Security Information and Event Managment
(SIEM)
CAPACIDADES
Fase I Coopere com o CNCS numa base sistemática e tenha definido um ponto de
contacto
Tenha a noção dos principais ativos da organização
Disponha de bases normativas internas para a proteção destes ativos críticos e
da segurança de informação interna como um todo
Fase II Intensifique o nível de cooperação com o CNCS com o estabelecimento de
comunicações a nível operacional
Proteja o perímetro da sua rede
Disponha de informação de registo e fluxos de tráfego que permitem uma
deteção atempada de ameaças, bem como o diagnóstico a posteriori do
comportamento dos sistemas internos perante um evento de segurança
Faça uma apropriada gestão e inventariação de ativos de informação internos,
complementada com esquemas ou mapas da Rede
Previna permanente os Riscos de inconformidade com a Lei e normativos ou
certificações aplicáveis
Disponha de resiliência ao nível da disponibilidade e integridade de
informação, através da criação e manutenção de procedimento de backup e
restore
Acautele a formação dos recursos humanos internos de acordo com um mapa
de competências
Fase III Assegure a integridade e nível de segurança de sistemas aplicacionais internos
Gira centralmente os equipamentos que suportam ativos de informação de
forma eficiente
Garanta a bom funcionamento dos equipamentos de suporte à infraestrutura
de Rede
Controle e centralize de forma eficaz a informação de eventos de segurança
provenientes dos vários dispositivos e equipamentos de suporte à
infraestrutura TIC num sistema SIEM
Tenha equipas internas encarregadas da segurança de informação com
formação nos domínios especializados da cibersegurança
Fase IV Gira eficientemente os processos operacionais de segurança interna através da
constituição formal de procedimentos
Integre as políticas e normativos definidos em fases anteriores
apropriadamente dentro de um quadro de gestão